Крупнейшая энергетическая компания Румынии Electrica Group стала жертвой хакерской атаки. По данным ИБ-специалистов, за этим инцидентом стоит вымогательская группировка Lynx.
В настоящее время Electrica Group обслуживает более 3,8 млн пользователей по всей стране, предоставляя услуги по электроснабжению и техническому обслуживанию сетей, а также распределяя электроэнергию среди потребителей по всей Трансильвании и Мунтении.
В начале текущей недели представители Electrica Group сообщили инвесторам, что компания сотрудничает с правоохранительными органами и специалистами по кибербезопасности, и работает рад расследованием «продолжающейся кибератаки».
«Мы хотим подчеркнуть, что критически важные системы не пострадали, а любые перебои, возникающие во взаимодействии с нашими потребителями, являются результатом защитных мер, предпринятых для безопасности внутренней инфраструктуры, — заявлял глава Electrica. — Эти меры носят временный характер и призваны обеспечить безопасность всей системы».
Хотя в компании не раскрывали детали и характер атаки, в Министерстве энергетики страны сообщили, что Electrica Group стала жертвой вымогателей. Подчеркивалось, что инцидент не затронул системы SCADA, используемые для управления и мониторинга распределительной сети.
Теперь национальное управление Румынии по кибербезопасности (DNSC), тоже участвующее в расследовании атаки, сообщило, что ответственность за этот взлом лежит на вымогателе Lynx. К своему сообщению специалисты приложили скрипт YARA, который призван помочь обнаружить признаки возможной компрометации в сетях других компаний.
«По имеющимся данным, критически важные системы энергоснабжения не пострадали и работают в штатном режиме, но расследование продолжается. В случае заражения вымогательским ПО, мы настоятельно не рекомендуем платить выкуп, который требуют злоумышленники», — говорится в сообщении DNSC.
Шифровальщик Lynx активен как минимум с июля 2024 года, и на «сайте для утечек» этой группировки уже опубликована информация более 78 жертв.
По информации исследователей из Центра интернет-безопасности (Center for Internet Security, CIS), в список жертв Lynx входят несколько американских предприятий и более 20 организаций, работающих в энергетическом, нефтяном и газовом секторах, которые были атакованы в период с июля 2024 года по ноябрь 2024 года.
Специалисты полагают, что шифровальщик Lynx может быть основан на исходном коде малвари INC Ransom, который выставляли на продажу на хакерских форумах за 300 000 долларов. Однако также Lynx может оказаться ребрендингом INC Ransom, так как злоумышленники нередко меняют личины, чтобы не привлекать к себе излишнего внимания со стороны правоохранительных органов.
